由于物聯網應用系統是多用戶、多任務的工作環境，這為非法使用系統資源打開了方便之門，因此，迫切要求我們對計算機及其網絡系統采取有效的安全防范措施，以防止非法用戶進入系統以及合法用戶對系統資源的非法使用。

這就需要采用訪問控制系統，訪問控制包含3方面的含義。

① 合法性：阻止沒有得到正式授權的用戶違法訪問以及非法用戶的違法訪問。

② 完整性：在包含收集數據、傳輸信息、儲存信息等一系列的步驟中，保證數據信息的完好無損，不可以隨意增刪與改動。

③ 時效性：在一定時效內，保證系統資源不能被非法用戶篡改使用，保障系統在時效內的完整。

通過訪問控制，系統可以預防和阻礙未經授權的非法用戶訪問和操作系統資源。

一、訪問控制的基本原則

訪問控制機制是用來實施對資源訪問加以限制的策略的機制，這種策略把對資源的訪問權限只授于了那些被授權用戶。應該建立起申請、建立、發出和關閉用戶授權的嚴格的制度，以及管理和監督用戶操作責任的機制。

為了獲取系統的安全，授權應該遵守訪問控制的3個基本原則。

1、最小特權原則

最小特權原則是系統安全中最基本的原則之一。最小特權（Least rivilege）指的是“在完成某種操作時所賦予網絡中每個主體（用戶或進程）必不可少的特權”。最小特權原則是指“應限定網絡中每個主體所需的最小特權，以確保可能的事故、錯誤、網絡部件的篡改等原因造成的損失最小”。

最小特權原則使用戶所擁有的權力不能超過它執行工作時所需的權限。最小特權原則一方面給予主體“必不可少”的特權，保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權，這也限制了每個主體所能進行的操作。

2、多人負責原則

多人負責即授權分散化，在功能上劃分關鍵的任務由多人來共同承擔，以保證沒有任何個人具有完成任務的全部授權或信息，如將責任做分解以確保沒有一個人具有完整的密鑰。

3、職責分離原則

職責分離是保障安全的一個基本原則。職責分離是指將不同的責任分派給不同的人員以期達到互相牽制的作用，消除一個人執行兩項不相容的工作的風險，如收款員、出納員、審計員應由不同的人擔任。計算機環境下也要有職責分離，為避免安全上的漏洞，有些許可不能同時被同一用戶獲得。

二、訪問控制的基本概念

1、訪問控制的功能

訪問控制應具備身份認證、授權、文件保護和審計等主要功能。

1.1、認證

認證就是證實用戶的身份。認證必須和標識符共同起作用。認證過程首先需要用戶輸入賬戶名、用戶標志或者注冊標志以表明身份。賬戶名應該是秘密的，任何其他用戶不得擁有。但為了防止賬戶名或用戶標志泄露而出現非法用戶訪問，還需要進一步用認證技術證實用戶的合法身份。

1.2、授權

系統正確認證用戶后，根據不同的用戶標志分配給其不同的使用資源，這項任務稱為授權。授權的實現是靠訪問控制完成的。訪問控制是一項特殊的任務，它將標志符ID作為關鍵字來控制用戶訪問的程序和數據。訪問控制主要用在關鍵節點、主機和服務器，一般節點使用較少。在實際應用中，通常需要從用戶類型、應用資源以及訪問規則3個方面來明確用戶的訪問權限。

① 用戶類型。對于一個已經被系統識別和認證了的用戶，系統還要對他的訪問操作實施一定的限制。對于一個通用計算機系統來講，用戶范圍廣，層次與權限也不同。用戶類型一般有系統管理員、一般用戶、審計用戶和非法用戶。

系統管理員權限最高，可以對系統中的任何資源進行訪問，并具有所有類型的訪問操作權利。一般用戶的訪問操作要受到一定的限制，系統管理員會根據需要給這類用戶分配不同的訪問操作權利。審計用戶負責對整個系統的安全控制與資源使用情況進行審計。非法用戶則是被取消訪問權利或者被拒絕訪問系統的用戶。

② 應用資源。應用資源是指系統中的每個用戶可共同分享的系統資源。系統內需要保護的是系統資源，因此需要對保護的資源定義一個訪問控制包（Access Control Packet，ACP），訪問控制包會給每一個資源或資源組勾畫出一個訪問控制列表（Access Control List，ACL），列表中會描述哪個用戶可以使用哪個資源以及如何使用。

③ 訪問規則。訪問規則定義了若干條件，在這些條件下可準許訪問一個資源。一般來講，規則可使用戶與資源配對，然后指定該用戶可以在該資源上執行哪些操作，如只讀、不允許執行或不允許訪問等。這些規則是由負責實施安全政策的系統管理人員根據最小特權原則來確定的，即在授予用戶訪問某種資源的權限時，只給予該資源的最小權限。例如，用戶需要讀權限時，不應該授予讀寫權限。

1.3、文件保護

文件保護是指對文件提供的附加保護，其可使非授權用戶不可讀取文件。一般采用對文件加密的附加保護。

1.4、審計

審計是記錄用戶系統所進行的所有活動的過程，即記錄用戶違反安全規定使用系統的時間、日期以及用戶活動。因為可能收集的數據量非常大，所以，良好的審計系統應具有進行數據篩選并報告審計記錄的工具，此外，還應容許工具對審計記錄做進一步的分析和處理。

2、訪問控制的關鍵要素

訪問控制是指主體依據某些控制策略對客體本身或其他資源進行不同權限的訪問。訪問控制包括3個要素：主體、客體和控制策略。

2.1、主體

主體是可以在信息客體間流動的一種實體。主體通常指的是訪問用戶，但是作業或設備也可以成為主體。所以，對文件進行操作的用戶是一種主體，用戶調度并運行的某個作業也是一種主體，檢測電源故障的設備還是一個主體。大多數交互式系統的工作過程是：用戶首先在系統中注冊，然后啟動某一進程以完成某項任務，該進程繼承了啟動它的用戶的訪問權限。在這種情況下，進程也是一個主體。

2.2、客體

客體本身是一種信息實體，或者是從其他主體或客體接收信息的載體。客體不受它所依存的系統的限制，其可以是記錄、數據塊、存儲頁、存儲段、文件、目錄、目錄樹、郵箱、信息、程序等，也可以是位、字節、字、域、處理器、通信線路、時鐘、網絡節點等。

在有些系統中，邏輯上所有的客體都作為文件處理。每種硬件設備都作為一種客體來處理，因而，每種硬件設備都具有相應的訪問控制信息。如果一個主體準備訪問某個設備，則該主體必須具有適當的訪問權，而對設備的安全校驗機制將對訪問權進行校驗。

2.3、控制策略

控制策略是主體對客體的操作行為集和約束條件集，也是主體對客體的控制規則集。這個規則集直接定義了主體對客體可以進行的作用行為和客體對主體的條件約束。控制策略體現了一種授權行為，即客體對主體的權限允許，這種允許不可超越規則集。

訪問控制系統的3個要素可以使用三元組（S、O、P）來表示，其中S表示主體，O表示客體，P表示許可。主體通過認證后才能訪問客體，但并不保證其有權限對客體進行操作。用戶標志是一個用來鑒別用戶身份的字符串，每個用戶有且只能有唯一的一個用戶標志，以便與其他用戶有所區別。當一個用戶在注冊系統時，他必須提供其用戶標志，然后系統才會執行一個可靠的審查來確認當前用戶就是對應用戶標志的那個用戶。

當前訪問控制實現的模型普遍采用了主體、客體、授權的定義和這3個定義之間的關系的方法來描述。訪問控制模型能夠對計算機系統中的存儲元素進行抽象表達。訪問控制要解決的一個基本問題便是主動對象（如進程）如何對被動的受保護對象（如被訪問的文件等）進行訪問，并且按照安全策略進行控制。主動對象稱為主體，被動對象稱為客體。

針對一個安全的系統，或者是將要在其上實施訪問控制的系統，一個訪問可以對被訪問的對象產生以下作用：一是對信息的抽取；二是對信息的插入。對于被訪問對象來說，可以有“只讀不修改”“只讀修改”“只修改不讀”“既讀又修改”4種訪問方式。

3、訪問控制策略的實施

訪問控制策略是物聯網信息安全的核心策略之一，其任務是保證物聯網信息不被非法使用和非法訪問，為保證信息基礎的安全性提供一個框架，提供管理和訪問物聯網資源的安全方法，規定各要素需要遵守的規范與應負的責任，為物聯網系統安全提供可靠依據。

3.1、訪問控制策略的基本原則

訪問控制策略的制定與實施必須圍繞主體、客體和控制規則集三者之間的關系展開。具體原則如下。

① 最小特權原則。最小特權原則指主體執行操作時，按照主體所需權利的最小化原則分配給主體權利。最小特權原則的優點是最大限度地限制了主體實施授權行為，可以避免來自突發事件、錯誤和未授權用戶主體的危險，即為了達到一定的目的，主體必須執行一定的操作，但主體只能做允許范圍內的操作。

② 最小泄露原則。最小泄露原則指主體執行任務時，按照主體所需要知道的信息最小化的原則分配給主體權利。

③ 多級安全原則。多級安全原則指主體和客體間的數據流向和權限控制按照安全級別進行劃分，包括絕密、秘密、機密、限制和無級別5級。多級安全原則的優點是可避免敏感信息擴散。對于具有安全級別的信息資源，只有安全級別比它高的主體才能夠訪問它。

3.2、訪問控制策略的實現方式

訪問控制的安全策略有：基于身份的安全策略和基于規則的安全策略。目前使用這兩種安全策略的基礎都是授權行為。

① 基于身份的安全策略

基于身份的安全策略與鑒別行為一致，其目的是過濾對數據或資源的訪問，只有能通過認證的主體才有可能正常使用客體的資源。基于身份的安全策略包括基于個人的安全策略和基于組的安全策略。

基于個人的安全策略是指以用戶為中心建立的一種策略。這種策略由一些列表組成，這些列表限定了針對特定的客體，哪些用戶可以實現何種策略操作行為。

基于組的安全策略是基于個人的安全策略的擴充，指一些用戶被允許使用同樣的訪問控制規則訪問同樣的客體。

基于身份的安全策略有兩種基本的實現方法：訪問能力表和訪問控制列表。訪問能力表提供了針對主體的訪問控制結構，訪問控制列表提供了針對客體的訪問控制結構。

② 基于規則的安全策略

基于規則的安全策略中的授權通常依賴于敏感性。在一個安全系統中，對數據或資源應該標注安全標記。代表用戶進行活動的進程可以得到與其原發者相應的安全標記。

基于規則的安全策略在實現時，由系統通過比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶進行訪問。